dashboard en safari onveiligheid

Het blijkt dat met Safari in Tiger het mogelijk is automatisch een dashboard widget te installeren zonder dat de gebruiker er erg in heeft.

Laad maar een deze pagina http://64.70.134.217/widgets/zaptastic en schrik!

bron: /.

niet als je open veilige bestanden uitzet :)

grt

tjah tis gewoon een zip bestand.. en als die site daarvoor zorgt dat hij die automaticsh download.. dan doet hij dat ook.

Die oen heeft niet [b:6cc733cb90]eerst[/b:6cc733cb90] Apple verwittigd, dus heb ik hem even gemaild: [quote:6cc733cb90]Van: ••• Onderwerp: Antw.: zaptastic blueprint for a widget of mass destruction by stephan.com Datum: 8 mei 2005 11:32:46 GMT+02:00 Aan: stephan@stephan.com Kopie: info@apple.com

info@apple.com is a good address or use their feedback page: http://www.apple.com/macosx/feedback/

Regards

[list:6cc733cb90]Op 8-mei-05, om 11:15 heeft stephan.com het volgende geschreven:

Well, no, I didn’t. Mainly because I couldn’t figure out how. I’m
not really in any developer program or anything, and I haven’t the
foggiest idea how to find the right person. I suspect that my
comments wouldn’t have been noticed, and would have wound up in the
bit-bucket.

If you happen to know someone at Apple who would be the relevant
party, I would be most pleased if you could alert them to this.

Further, I’m fairly certain that these security issues were raised
internally in one way or another - as I said, I don’t think they’ve
done badly, I think they’ve hit the right balance between security and
usability, with the notable exception of not providing users with a
documented, user-friendly way to remove widgets.

Indeed, I think I can be absolutely certain that they are aware of
these problems because, as I noted, the Apple stores appear to have
removed write access to ~/Library/Widgets. I tried to run flores at
an Apple store, but couldn’t install it. They know there’s a problem.

I understand your position regarding etiquette and security - I’ve
been following the security world for years; I used to subscribe to
Risks Digest back in the early 90’s, before the web. If this were a
truly dangerous and unknown breach, I certainly would have made an
effort to contact them, giving them the opportunity to patch the holes
before they became public knowledge. However, this does not appear to
be a bug, but rather a considered design decision on their part.

Finally, from my understanding of security issues, I am
philosophically dead set against security by obscurity; it is my
opinion that the best way to prevent security problems is to publicize
them - this is why I have, in general, more faith in the long term
security of open source software than closed source.

I thank you for your feedback, though, and please, feel free to
forward the URL of that page to the appropriate person, I would
really, really appreciate it. Heck, they might even offer me a job :slight_smile:

Yours,

  • Stephan

p.s. watch for my new widget, ‘starman’ within the next 24 hours

[list:6cc733cb90]
On 5/8/05, •••• wrote:

Hi,

I presume and I hope you alerted Apple about this security issue
before posting this troublemaker* on the web?
If not, I assume you acted as a most irresponsible person neglecting
every netiquette and security gentlemanhood.

*http://stephan.com/widgets/zaptastic/

Sincerely
•••


stephan@stephan.com | http://stephan.com/
[/list:u:6cc733cb90][/list:u:6cc733cb90][/quote:6cc733cb90]

Probleem is inderdaad dat een widget in de widget folder toegang heeft tot programma's en alles. Wel onder de rechten van de huidige gebruiker. Maar dat kan al vervelend genoeg zijn.

Je kunt leuke dingetjes doen met rm en iemands home directory.

Daarom heb ik dus al sinds jaar en dag "open veilige bestanden na downloaden" uit staan...

Maar Pliep gaf ook reeds een link naar een eerder verhaal. Daar staat dus ook dat een Widget geen toegang heeft tot het systeem en dergelijke, dus de paniek is groter dan dat het verdiend.

Als de auteur van Saft (Safari plug in) dit snel kan oplossen waarom Apple dan niet: new feature: Warn before Safari auto-install Dashboard widgets zie verder: http://www.macupdate.com/info.php/id/12402

[quote:bdb9722e89="unSOUND"] Maar Pliep gaf ook reeds een link naar een eerder verhaal. Daar staat dus ook dat een Widget geen toegang heeft tot het systeem en dergelijke, dus de paniek is groter dan dat het verdiend.[/quote:bdb9722e89]

Och volgens mij maakt niemand zich onterecht zeer druk o m dit bericht. Het lijkt mij alleen wel een beetje naar wanneer je op F12 drukt en opeens vliegen bijv de sex.com widgets je om de oren.

[quote:10dea4fa87="gretver"]Het lijkt mij alleen wel een beetje naar wanneer je op F12 drukt en opeens vliegen bijv de sex.com widgets je om de oren.[/quote:10dea4fa87]

Ik zie daar helemaal geen problemen in… :expressionless:

Maar volgens mij kunnen ze alleen stiekem widgets installeren. Je moet ze wel zelf starten in Dashboard.

[quote:03e82563e7="gretver"]Laad maar een deze pagina http://64.70.134.217/widgets/zaptastic en schrik! [/quote:03e82563e7]

Ik zie niks… maar ik zit momenteel dan ook op een veilige XP doos :stuck_out_tongue:
Meer info: hiero.

Je kan ook een Widget Manager in je systeemvoorkeuren installeren dan kan je het aanpassen of verwijderen

Niet vergeten dat als je blote tieten in je widget bar dat je die dan niet je scherm in moet slepen. :D

Zal voor sommigen moeilijk zijn. :evil: